Stell dir vor, du entdeckst eine Sicherheitslücke und schützt so ein Unternehmen vor einem Cyberangriff mit sehr schwerwiegenden Folgen. Klingt nach einem Job für Superhelden? Genau das ist die Aufgabe von Yerlan und Max bei KPMG. Yerlan startet als Werkstudent in der Cyber Security durch, während Max als Senior Associate auf einen erfolgreichen Berufseinstieg in diesem Bereich zurückblickt. Gemeinsam geben sie Einblicke in ihre Arbeit, den Karrierestart und wie KPMG sie auf ihrem Weg begleitet.
Yerlan, du machst gerade deinen Bachelor in Informatik und arbeitest nebenbei als Werkstudent im Bereich Cyber Security bei KPMG. Woher wusstest du, dass das der richtige Weg für dich ist?
Ich war schon immer von IT begeistert – besonders aber vom Thema Hacking. Während meines Studiums und durch meine Arbeit bei einer E-Commerce-Firma bin ich dann tiefer in die Welt des Penetration-Testings, kurz „Pen-Testing“, eingetaucht. Mir gefällt daran besonders, dass man versucht, Systeme zu knacken, um Schwachstellen aufzudecken – zum Beispiel indem man Logindaten oder Passwörter ermittelt. Das ist jedes Mal spannend, weil man nie genau weiß, ob es funktioniert oder nicht. Ich finde es einfach cool, in diesem Moment den Hacker zu spielen – natürlich auf ethische Weise und mit dem Ziel, das System sicherer zu machen. In einer KI-Vorlesung hatten wir einen Gastvortrag von KPMG und ich habe erfahren, dass ich mich dort schon als Werkstudent im Bereich Pen-Testing entwickeln kann. Danach habe ich mich direkt beworben. Im Bewerbungsgespräch hat es sofort Klick gemacht und so bin ich zu KPMG gekommen.
Max, du bist nach deinem Master in IT-Sicherheit bereits erfolgreich als Senior Associate durchgestartet und jetzt Experte auf dem Gebiet.
Danke! (lacht). Mein Einstieg bei KPMG war rundum positiv – besonders gut gefallen hat mir, dass es ein umfassendes Onboarding gab und ich früh Verantwortung in Projekten übernehmen konnte. Schon das Vorstellungsgespräch war eine gute Erfahrung. KPMG ist sehr offen und hat beispielsweise meine Erfahrungen aus der Bachelorarbeit oder Hacking-Wettbewerben als Beweis meiner fachlichen Skills akzeptiert, sodass kein Eignungstest nötig war. Wer wie Yerlan schon mal Werkstudent war, hat hier auch entscheidende Vorteile. Mein Tipp für Interessierte: Seid neugierig, stellt Fragen und nutzt die vielen Weiterbildungsmöglichkeiten.
Yerlan: Mein Einstieg lief genauso gut wie bei Max, der außerdem vom ersten Tag an als erfahrener Mentor an meiner Seite stand. Egal, welche Frage ich hatte, er hat mir immer weitergeholfen, das erleichtert den Einstieg enorm. Generell ist die Teamkultur bei uns super offen und unterstützend. Es gibt immer jemanden, der hilft, sei es bei technischen oder organisatorischen Themen. An meinem ersten Tag haben wir als Team an einem „1Live Elfmeterschießen“-Event teilgenommen. Ich hatte gerade erst meinen Laptop aufgeklappt, als die Nachricht kam: „Kannst du Fußball spielen?“
Max: Und wir haben sogar den zweiten Platz belegt, wenn ich mich recht erinnere! (lacht)
Yerlan: Die Atmosphäre im Team ist für mich einer der wesentlichen Gründe, warum ich bei KPMG so zufrieden bin. Was mir besonders auffällt: Unser Team ist jung, engagiert und fachlich sehr stark. Gleichzeitig ist der Umgang locker und kollegial. Den Zusammenhalt spürt man auch bei After-Work-Events wie beim gemeinsamen Escape Room oder beim Public Viewing der WM.
Yerlan studiert derzeit Informatik im 7. Semester an der FOM und hat vor seiner Tätigkeit bei KPMG bereits Erfahrungen in der Finanzberatung und als E-Commerce Manager gesammelt. Er interessiert sich besonders für Hacking und Penetration Testing. Neben der Arbeit bei KPMG beschäftigt er sich in seiner Freizeit mit Software- und KI-Entwicklung sowie Calisthenics. Als Werkstudent im Bereich Cyber Security kann er sein Wissen praktisch anwenden.
Max, wie hast du deine Fähigkeiten bei KPMG auf dem Weg vom Associate zum Senior Associate Cyber Security ausgebaut?
KPMG bietet ein breit gefächertes Schulungskontingent an, das ich sehr gerne nutze – sowohl für fachliches Wissen als auch für Soft Skills. Das können externe Zertifizierungen im Bereich Information Security oder speziell Penetration Testing sein oder Schulungen zu Präsentationstechniken oder wie man die eigenen Consulting-Fähigkeiten weiterentwickelt. Ich habe beides schon mitgemacht und gerade die Soft-Skill-Trainings fand ich spannend, weil ich da bewusst aus meiner Komfortzone rauskam.
Zum anderen ist es wichtig, seine Neugier zu bewahren. In der Welt des Pen-Testings verändert sich ständig etwas – es gibt neue Tools, Angriffsvektoren oder Techniken. Wenn man Spaß an der Arbeit hat und sich einbringt, entwickelt sich vieles von selbst.
Yerlan, wie hast du für dich herausgefunden, wo deine Stärken und Interessen im Bereich Cyber Security liegen?
Indem ich in viele verschiedene Themenbereiche hineingeschnuppert habe, neben dem Pen-Testing beispielsweise Security Audits. Bei diesen überprüfen wir systematisch die IT-Sicherheit eines Unternehmens, identifizieren Schwachstellen und empfehlen Maßnahmen zur Verbesserung. Durch diese Vielseitigkeit habe ich leicht herausfinden können, welcher Bereich mich besonders fasziniert – beim Pen-Testing bin ich einfach glücklich! (lacht). Es hat zudem geholfen, dass die Kolleg:innen mich auch als Werkstudenten direkt in Kunden-Projekte eingebunden haben. Besonders spannend fand ich die Arbeit an der Sicherheitsarchitektur eines großen Unternehmens: Ich habe selbst aktiv Pen-Tests durchgeführt und die Ergebnisse dazu aufbereitet. Das war total aufregend, weil es ein realer Fall mit echten Bedrohungsszenarien war. Mein Team deckt viele Bereiche ab wie Netzwerksicherheit, Internet of Things (IoT) und Operational Technology (OT). Diese Praxisnähe war für mich der entscheidende Schritt, um in der Rolle richtig anzukommen. Besonders durch Max habe ich viel in diesem Bereich gelernt.
Apropos Praxisnähe: Max, was macht die Projekte für dich so spannend?
Unsere Projekte zeichnet aus, dass sie meist kurz sind. Während sie im klassischen Consulting oft ein halbes Jahr oder länger dauern, sind unsere Tests in der Regel nach ein bis zwei Wochen abgeschlossen – entsprechend viele Projekte führen wir im Jahr durch. Mal prüfen wir eine Web-Anwendung, mal analysieren wir die Hardware eines IoT-Geräts oder sind direkt beim Kunden vor Ort, stöpseln uns ins Netzwerk ein und schauen, was wir finden. Gerade wenn es zunächst so aussieht, als gäbe es keine Schwachstellen, wird es richtig spannend. Manchmal sind wir tagelang intensiv auf der Suche – und entdecken dann die Lücke.
Wenn wir schließlich eigene Befehle auf einem Kundensystem ausführen können, ist das ein echtes Highlight. Natürlich ist es eine ambivalente Freude: Eigentlich wünscht man dem Kunden ja ein sicheres System. Aber genau das ist unser Job – Sicherheitslücken finden, bevor es andere tun. Und wenn man sieht, dass die eigene Arbeit wirklich etwas bewirkt, ist das ein sehr gutes Gefühl.
Cyber Security gilt als sehr dynamische Branche. Welche Herausforderungen und Bedrohungen gibt es derzeit?
Richtig, in der Branche tut sich aktuell sehr viel. Mit der fortschreitenden Digitalisierung entstehen kontinuierlich neue Angriffsflächen – insbesondere durch die Zunahme von Webanwendungen und vernetzten Systemen. Gleichzeitig halten KI-Tools wie ChatGPT Einzug in den Arbeitsalltag, was neue Sicherheitsrisiken mit sich bringt. Werden beispielsweise sensible Dokumente in solche Tools geladen, besteht die Gefahr, dass vertrauliche Informationen unbeabsichtigt weitergegeben werden.
Auch Angreifer:innen nutzen zunehmend KI: Phishing-Mails sind heute so gut formuliert, dass sie selbst für Expert:innen schwer zu erkennen sind. Für Menschen ohne IT-Hintergrund steigt dadurch das Risiko, auf Betrugsversuche hereinzufallen. Um solchen Bedrohungen zu begegnen, setzen Unternehmen verstärkt auf moderne Sicherheitskonzepte wie automatisierte Sicherheitslösungen oder Zero-Trust-Ansätze, bei denen keinem Nutzer:innen oder Gerät automatisch vertraut wird und jeder Zugriff authentifiziert und überprüft werden muss.
Neben technischen Herausforderungen wächst auch der Bedarf an qualifizierten Fachkräften. Der Markt entwickelt sich rasant, doch es fehlt vielerorts an Nachwuchs. Umso wichtiger ist es, junge Talente früh für das Thema zu begeistern. Denn klar ist: Cyber Security bleibt ein spannendes Feld – mit großer Bedeutung für die Sicherheit digitaler Infrastrukturen.
Max absolvierte seinen Master in Medieninformatik und war als wissenschaftlicher Mitarbeiter an der Hochschule Düsseldorf tätig. Während seines Studiums entdeckte er seine Leidenschaft für Penetration Testing und „Offensive Security“. Seit Oktober 2023 arbeitet er bei KPMG und ist mittlerweile Senior Associate im Bereich Cyber Security & Resilience.
Was sind die wichtigsten Fähigkeiten, die ein:e Berufseinsteiger:in im Bereich Cyber Security mitbringen sollte, und wie kann man diese bei KPMG einbringen?
Einerseits ist technisches Verständnis natürlich wichtig, aber genauso entscheidend sind analytisches Denken und Problemlösungsfähigkeiten. Lernbereitschaft und Anpassungsfähigkeit sind essenziell. Wer Interesse an Cyber Security hat, sollte sich während des Studiums mit aktuellen Sicherheitsthemen beschäftigen, an Capture-the-Flag-Wettbewerben teilnehmen oder Zertifikate erwerben. Bei KPMG wird aber nicht erwartet, dass man frisch aus der Uni alles kann. Eine Grundlage ist gut, den Rest lernt man on-the-job.
Wie geht es bei dir weiter, Yerlan?
Aktuell bin ich dabei, meinen Bachelor abzuschließen. Danach plane ich, in eine Festanstellung bei KPMG zu gehen und werde mich dann erst mal auf die relevanten Pen-Testing-Zertifizierungen konzentrieren. Damit kann man sich fachlich spezialisieren und beruflich gut weiterentwickeln – für mich ist das aktuell der passende Weg.